ubuntu stream8权限设置指南

Ubuntu Stream 8权限设置指南
Ubuntu Stream 8（基于Ubuntu 20.04 LTS）的权限管理围绕用户/组管理、文件/目录权限及**细粒度控制（如ACL）**展开，以下是具体操作指南：

一、用户与用户组管理

用户和组是权限分配的基础，通过合理分组可简化权限管理。

1. 添加用户
   使用adduser命令（交互式，自动创建主目录）：

   sudo adduser new_user
   

   或使用useradd命令（需手动指定主目录）：

   sudo useradd -m new_user && sudo passwd new_user
   

2. 修改用户信息
   • 更改密码：sudo passwd username（系统会提示输入新密码）；
   • 添加用户到组（-aG表示追加，避免移除原有组）：sudo usermod -aG target_group username；
   • 修改用户shell：sudo chsh -s /bin/bash username（将shell改为bash）。
3. 删除用户
   • 删除用户及主目录：sudo deluser --remove-home username；
   • 仅删除用户：sudo deluser username。
4. 管理用户组
   • 创建组：sudo groupadd group_name；
   • 删除组：sudo groupdel group_name；
   • 将用户从组中移除：sudo gpasswd -d username group_name。

二、文件与目录权限管理

文件/目录权限控制着用户对其的访问级别，分为读（r）、写（w）、**执行（x）**三类，分别对应用户（owner）、组（group）、其他用户（others）。

1. 查看权限
   使用ls -l命令查看详细权限（如-rwxr-xr--）：

   ls -l /path/to/file_or_directory
   

   输出解读：-rw-r--r-- 1 user group 4096 Jan 1 12:34 file（用户有读写权限，组和其他用户有读权限）。
2. 修改权限
   • 符号表示法（直观，针对特定角色）：
     • 给用户添加执行权限：chmod u+x file；
     • 移除组的写权限：chmod g-w file；
     • 设置其他用户为只读：chmod o=r file。
   • 数字表示法（精确，通过八进制数设置）：
     • 权限对应值：读（4）、写（2）、执行（1）；
     • 示例：chmod 755 file（用户：7=4+2+1（读写执行），组和其他：5=4+1（读执行））；chmod 644 file（用户：6=4+2（读写），组和其他：4（只读））。
3. 修改所有者
   使用chown命令修改文件/目录的所有者和组：

   sudo chown new_owner:new_group file_or_directory
   

   示例：将/var/www/html的所有者设为www-data，组设为www-data：

   sudo chown -R www-data:www-data /var/www/html
   

   （-R表示递归修改目录及其子项）。

三、服务权限设置（以Nginx为例）

服务权限需确保进程能访问所需文件，同时限制不必要的访问。

1. 修改配置文件
   编辑Nginx主配置文件（/etc/nginx/nginx.conf），确认user指令设置为www-data（默认用户）：

   sudo nano /etc/nginx/nginx.conf
   

   确保有：user www-data;。
2. 设置文件权限
   • 确保Nginx进程有权限访问网站目录和日志文件：

     sudo chown -R www-data:www-data /var/www/html
     sudo chmod -R 755 /var/www/html
     sudo chown -R www-data:www-data /var/log/nginx
     sudo chmod -R 755 /var/log/nginx
     

3. 重启服务
   应用更改：

   sudo systemctl restart nginx
   

四、细粒度权限控制（ACL）

若需更灵活的权限（如给特定用户单独授权），可使用访问控制列表（ACL）。

1. 安装ACL工具

   sudo apt install acl
   

2. 设置ACL权限
   • 给用户user1添加对/data目录的读写权限：

     sudo setfacl -m u:user1:rw /data
     

   • 给组dev添加对/data目录的执行权限：

     sudo setfacl -m g:dev:x /data
     

3. 查看ACL权限

   sudo getfacl /data
   

   输出会显示详细的权限分配（包括默认ACL）。

五、权限设置原则

• 最小权限原则：只授予必要的权限（如普通用户无需root权限）；
• 避免过度授权：不要将目录权限设为777（所有用户可读写执行），易引发安全风险；
• 定期检查：使用ls -l或getfacl查看权限，及时撤销不必要的权限。

以上步骤覆盖了Ubuntu Stream 8权限管理的核心场景，可根据实际需求调整。操作前建议备份重要数据，避免误操作导致系统故障。